Камилла Куанышева, Security Vision
Введение
Информационная безопасность является одной из ключевых областей в современном мире, где каждый день появляются новые угрозы и вызовы. Студенты, обучающиеся в вузах, получают ценные знания и навыки в области информационной безопасности, однако часто остаются неподготовленными к реальным задачам, с которыми сталкиваются специалисты в данной сфере.
В этой статье мы рассмотрим отличие между навыками, получаемыми после классического обучения в вузе, и навыками, которые реально требуются на практике в сфере информационной безопасности. Будут рассмотрены проблемы и противоречия, с которыми сталкиваются выпускники, а также предложены пути усовершенствования образовательных программ для более эффективной подготовки специалистов к работе в области кибербезопасности.
Данная тема является актуальной и важной, поскольку в сфере информационной безопасности решения принимаются на основе практического опыта и актуальных знаний о современных угрозах, технологиях и методах защиты. Анализ отличий между образованием и практикой в информационной безопасности поможет выявить ключевые аспекты, на которые необходимо обратить внимание при подготовке специалистов в данной области.
Теоретические знания vs Практические навыки
Во-первых, хочется выделить самую распространенную проблему, которая кроется в отсутствии практических навыков у студентов. И это касается не только ИБ направлений, но и многих других образовательных программ. В частности, что касается ИБ, в университете студентов обычно учат основам криптографии, сетевым протоколам и другим базисным вещам. Однако, на практике в информационной безопасности требуются навыки практической реализации защиты информационных систем, умение анализировать уязвимости, проводить тестирование безопасности, реагировать на инциденты, анализировать вредоносное обеспечение и т.д. Поэтому, теоретические знания бесспорно важны, но не менее важно уметь применить теорию на практике. Все, наверное, согласятся с тем, что никто ещё не научился водить машину или плавать, просто прочтя книгу. Поэтому, правила дорожного движения необходимо изучать всем, но на одной теории далеко не уедешь.
Представим себе такую ситуацию: только что закончившего ВУЗ молодого специалиста взяли в отдел расследования инцидентов. Как думаете, с какими проблемами он столкнется при решении своей первой задачи по расследованию, имея в своём багаже знаний лишь одну теорию об этом процессе? Можем предположить, что, скорее всего, возникнут проблемы с чтением и анализом журнала аудита (логов), системных логов и сетевых логов. Чтобы грамотно пройти этот этап, в рамках расследования, и «выжать» максимум информации, необходимо знать, как выглядит аномалия и что считать аномалией. Чаще в университетах, при обучении, этот момент упускают и посвящают журналу пару лекций и семинаров, и то, чтобы разобрать простые ситуации на обобщенных, синтетических «примерах».
Второе, с чем скорее всего возникнут проблемы у начинающего специалиста – отсутствие практических навыков работы с SIEM-системами. В рамках реагирования это важный этап. Чаще всего студенты знают лишь определение SIEM-системы, знают о существовании таковых систем, но, увы, не имеют с ними никакого практического опыта работы. И как итог, это приводит к тому, что, будучи уже за боевой задачей, специалист просто-напросто не сможет определить, например, где произошел брутфорс, а где какая-нибудь фишинговая атака.
Также анализ системы требует хороших знаний утилит и скриптов. Таких как Process Exlorer (для просмотра запущенных процессов и зависимостей), Wireshark (для выявления подозрительного трафика), Autoruns и других программ. Об этих инструментах многие студенты слышат, может даже изучают поверхностно, в рамках учебных дисциплин, но, опять же, нет практики использования на хотя бы «искусственных» кейсах.
И все мы пониманием, что помимо того, что эти проблемы, к сожалению, будут вызывать нарастающий стресс у начинающего специалиста, это ещё и очень сильно «ударит» по делам и репутации компании. В случае, при описанной выше динамике работы, расследование инцидента затянется, и компания не сможет оперативно отреагировать на угрозу. В результате инцидент приведет к более серьезным последствиям, чем мог бы, если бы специалист имел необходимые практические навыки.
Есть несколько вариантов решения проблемы отсутствия практического опыта у студентов:
1) Внедрение CTF тренировок и соревнований.
Участие в таких мероприятиях поможет студентам развивать реальные навыки в области ИБ, включая пентестинг, анализ уязвимостей, криптографию; работать в команде, общаться и обмениваться своим опытом с сокомандниками. Более того, такой формат соревнований вызывает большой интерес у «молодых умов».
Пример известных российских CTF соревнований: Yauza CTF, VolgaCTF, RuCTF, Kaspersky Industrial CTF и др.
Минус такого подхода в его «элитарности». Немногие университеты готовы «приземлить» CTF на уровень каждого студента, разработать методически правильные и доступные курсы с низким входным барьером, распространить их на всех выпусников. Значимый опыт в этом смысле имеет университет ИТМО, выстроивший вокруг такого подхода обучение целых групп студентов. Таким образом – здесь хотелось бы видеть внедрение готовых курсов, возможно сопряженных с изучением основ реагирования на киберучениях, ведь, по сути, инфраструктура для CTF может быть преобразована в базисную для киберучений и наоборот, а навыки подсчета успешных атак могут быть преобразованы в навыки поиска реальных индикаторов компроментации.
2) Внедрение практико-ориентированного обучения.
Этот вариант позволит отработать навыки обнаружения и реагирования на кибератаки в условиях, максимально приближенных к реальным.
Кейс-подход основан на анализе реальных ситуаций, которые могут возникнуть в профессиональной деятельности специалистов по информационной безопасности. Основные принципы этого метода включают:
1) Реалистичность: Кейсы основаны на реальных или максимально приближенных к реальности ситуациях, что позволяет студентам лучше понимать контекст и значимость своих действий.
2) Активное обучение: Студенты активно участвуют в обсуждении и решении кейсов, что способствует более глубокому усвоению материала.
3) Развитие критического мышления: Работа с кейсами стимулирует студентов анализировать информацию, оценивать риски и принимать взвешенные решения.
4) Командная работа: Многие кейсы решаются в группах, что развивает навыки сотрудничества и коммуникации, важные для будущих профессионалов.
5) Интердисциплинарность: Кейсы часто охватывают несколько областей знаний, что помогает студентам видеть связи между различными аспектами информационной безопасности.
Важно отметить, что кейс-метод должен содержать ступенчатый подход обучения, в зависимости от знаний обучающегося. Постепенно усложняя материал, мы добиваемся более глубокого усвоения знаний у студентов. После прохождения такого обучения будущий специалист должен иметь все практические навыки, чтобы решить целую задачу для предприятия, независимо от уровня сложности этой задачи.
Кейс-метод в информационной безопасности требует особенно частого обновления. Несколько наших рекомендаций для обновления кейсов в ИБ:
- Ежеквартальное обновления: из-за быстрого темпа изменений в сфере ИБ, пересматривать и обновлять кейсы стоит не реже одного раза в квартал. Это позволит включить новые угрозы, атаки и методы защиты.
- Мониторинг актуальных инцидентов: регулярно отслеживайте последние инциденты и атаки в области ИБ через специализированные источники, такие как отчеты от компаний по кибербезопасности (например, Kaspersky, Symantec), новостные сайты и блоги экспертов. Включайте самые значимые и поучительные примеры в кейсы.
- Обратная связь от студентов и профессионалов: важно учитывать опыт студентов и практикующих специалистов, которые могут сталкиваться с новыми видами угроз в реальной жизни. Проводите опросы и собирайте отзывы для адаптации кейсов к текущим реалиям.
- Анализ трендов и прогнозов: Используйте аналитические отчеты о трендах и прогнозах в ИБ для включения долгосрочных стратегий и перспективных угроз.
Таким образом, регулярное обновление кейсов в ИБ необходимо для поддержания актуальности учебных материалов и подготовки специалистов, способных эффективно противостоять современным киберугрозам.
Откуда брать кейсы? На каждой позиции проектируемого кейса необходимо привлекать предприятие, организацию либо вендора, чтобы данные для практических задач автоматически передавать учебному заведению по предварительной договоренности либо по договоренности, которая возникает в ходе обучения. Есть ещё такой вариант, что сам поставщик кейсов будет принимать активное участие в обучении и сам формировать эти данные для студентов.
В ходе обучения на основе кейс-метода будущий специалист будет иметь возможность сталкиваться с ситуациями, которые требуют анализа и незамедлительного решения. Ведь на практике чаще всего бывает, что не все то, что мы видим в системе, 100% соответствует реальной ситуации. Поэтому, студент должен на месте убедиться, что в системе, к примеру, нет незарегистрированных активов, каждая характеристика и каждая метрика действительно работают, а каждый сценарий автоматического развертывания действительно способен «автоматически развернуться», если понадобится.
Пример: резервное копирование, реализованное на специально написанных скриптах, сообщает об успешной операции переноса резервной базы на сервер. В реальности переноса не происходит, но в скрипте не было предусмотрено ветви, отвечающей за сообщение об ошибке в этой ситуации. Администратор резервного копирования узнает об этой ситуации только тогда, когда резервная копия с этого сервера не восстанавливается в реальной чрезвычайной ситуации.
Также для решения проблемы с отсутствием практики можно рассмотреть киберучения. Причем для проведения наиболее эффективных киберучений рекомендуется делать их на основе того же эффективного кейс-метода: то есть для симуляции инцидентов брать за основу «живые» кейсы.
Поясним, какую информацию могут содержат собираемые данные на этапе 6 для обновления сценариев:
- Изменения в нормативных актах
- Прогнозы развития угроз
- Новые технологии в сфере ИБ
- Последние угрозы и уязвимости (0 day)
- Инновационные решения от ведущих компаний ИБ
- Получение лучших практик по защите данных
- Информация о новых реальных кейсах
Знание стандартов и технологий vs Умение адаптироваться
В университете студенты на практике от специалистов получают знания о стандартах безопасности, методах шифрования, технологиях и инструментах. Помимо этого, также требуется умение быстро адаптироваться к новым технологиям и угрозам, а также разрабатывать собственные методы защиты. Причем, хочется отметить, что положение дел усугубляет устаревшая литература в вузах, по которой чаще всего учат студентов. Соответственно, студент в процессе обучения получает ту информацию, которая была актуальной несколько лет назад. И, приходя на работу уже специалистом, у него возникает проблема из-за несоответствия того, что у него есть в его багаже знаний и того, с чем ему необходимо будет работать.
Для решения возникающей проблемы с умением адаптироваться, можно рекомендовать как минимум пару вариантов: организация стажировок для студентов; сотрудничество с различными вендорами.
Остановимся на втором. Наша компания, приходя в партнерские ВУЗы, к заказчикам, в рамках обучения, как раз рассказывает про своё видение стандартов и решений для организаций и на практике показывает, как необходимо это реализовывать. Мы довольно часто сталкиваемся с необходимостью приземления методологий, стандартов и лучших практик в кастомные инфраструктуры заказчиков. При этом у каждого заказчика есть свои должностные инструкции, регламенты, привычки, корпоративная культура и специализированный стек средств защиты. Что мы поняли за долгое время работы? Мы поняли, что не бывает типовых стандартов и применимых ко всем решений; мы поняли, что каждой организации нужна как можно более простая с точки зрения настройки кастомизация. Для упрощения процесса адаптации процедур SOC мы применяем платформу low-code no-code. Это дает нам весомое преимущество в проектах внедрения: не надо ничего кодить, все кейсы детализируются настройками системы, модифицируются рабочими процессами и справочниками.
Поэтому наш совет: не выбирайте для себя жесткие хард код решения, ищите современные фреймворки и проекты с поддержкой комьюнити, которая уже разработала много вариаций библиотек, функций. Чем более гибкая система, тем проще вам подстроиться под динамично меняющуюся внешнюю среду.
Кроме того, знание стандартов без практического их применения – это просто погружение в скучный и непонятный фреймворк, изучение и зазубривание текста, который достаточно иметь в виде справочного материала. На наш взгляд, работа со стандартами должна приходить на уровень выполнения практико-ориентированных курсовых работ, разбора решений, практических ситуаций совместно с приглашенными профессионалами. В идеале каждый студент на старшем курсе должен сопровождаться преподавателем извне университета, ментором, отмечающим реально возникающие практические затруднения. Хорошая идея в этом смысле – сотрудничество университета и интеграторов, реализующих комплексные решения, приглашение специалистов из числа практикующих сотрудников таких организаций.
Не следует забывать и про то, что стандарты пишут конкретные регуляторы. И то, что вложено в стандарт, лучше всего знает тот, кто его применяет постоянно. Университеты могут и скорее всего должны приглашать представителей ФСТЭК, Минцифры и ФСБ, Роскомнадзора, НКЦКИ для ведения конкретных дисциплин, ориентированных на требования регуляторов, что позволит сократить разрыв между знаниями выпускника и реальными требованиями стандарта и нормативных актов.
Возвращаясь к практико-ориентированному подходу в обучении, можно отметить, что кейсы хороши тем, что студент не имеет готового решения или решение может быть неожиданным.
Пример: реализация межсетевого экранирования в организации привела к успешному разделению сети на сегменты, но при этом отказала служба цифровых подписей, потому что по итогу выяснилось, что сервер ЦП был без документирования и согласования вынесен из своего сегмента сети в другой ИТ-отделом «для ускорения работы системы».
Кейсы также помогают студентам находить не шаблонные решения возникающих проблем и делать переход от стандартного решения к нестандартному. К примеру, мы знаем как по стандарту реализуется определенный процесс, например, инвентаризация активов. Когда мы приходим на конкретное предприятие, возникает множество сложностей, связанных с ограничениями сети или какими-то организационными проблемами. И эта ситуация требует нового, оптимального и правильного решения относительно реализации инвентаризации на данном предприятии. И, соответственно, студент, сталкиваясь с подобными проблемами впервые, не знает как её решать и что в таком случае делать. И здесь кейс-метод позволяет, как раз, понять на практике как делается переход от стандартного к нестандартному. В последствии, после опыта решений таких практических задач, будущий специалист не будет иметь проблем с решением подобных заданий.
Большим плюсом и дополнением к этому окажется обратная связь от организации, которая будет давать такие кейсы. Тем самым студент поймет насколько хорошо он сделал предложенную ему задачу. Безусловно обратная связь, независимо от того какая она окажется, положительно скажется на дальнейшем развитии студента.
Тестирование и анализ уязвимостей vs Профилактика и реагирование
Выявление и анализ уязвимостей, проведение пентестинга и другие тесты безопасности — это важные аспекты, которые могут быть освоены в университете. Однако, на практике требуется не только обнаруживать проблемы, но и принимать проактивные меры по предотвращению инцидентов и реагированию на угрозы в реальном времени.
Опять же, в качестве решений важно упомянуть про симуляции киберполигоны, сюда же, обучающие игры CTF. Также привлечение профессионалов, специалистов, менторов, которые могу направлять студентов и делиться своим опытом и уже «набитыми шишками».
И в этом пункте хотелось бы тоже отметить положительную сторону обучения с помощью кейс-метода относительно реагирования на инциденты.
Реальные истории и кейсы всегда вызывают больший интерес у студентов по сравнению с абстрактными теоретическими моделями. Они делают процесс обучения более увлекательным и мотивирующим, что способствует лучшему вовлечению студентов в учебный процесс. Студенты видят непосредственную связь между своими учебными занятиями и реальной профессиональной деятельностью, что повышает их интерес и стремление к совершенствованию своих навыков. Также изучение реальных кейсов позволяет студентам учиться на чужих ошибках и успехах. Анализируя, какие действия привели к успешному разрешению инцидента, а какие — к усугублению проблемы, студенты могут избегать аналогичных ошибок в своей практике. Это ценный опыт, который помогает формировать более эффективные стратегии и методы реагирования на инциденты.
Соблюдение законодательства и этики vs Моральные дилеммы и этические стандарты
В университете уделяется внимание юридическим аспектам информационной безопасности. Но на практике профессионалы в этой области часто сталкиваются с моральными дилеммами, этическими стандартами и требованиями поведения, которые не всегда охватываются учебной программой. Достаточно часто на примере наших внедрений мы видим ситуацию (особенно в консервативных структурах, структурах с высокой степенью формализации процессов и жесткой структурой управления), при которой регламенты ставятся в основу принятия решений и выполняются беспрекословно. При этом сейчас набирает популярность атаки в области социальной инженерии на эксплуатацию именно этот человеческого фактор. Используя дипфейк, злоумышленники могут позвонить от лица руководителя, имитировать голос начальника цеха и выдать указания, которые нарушат производственный процесс или раскроют конфиденциальную информацию. Для решения этой проблемы необходимо повсеместно внедрять практики секьюрити аварнеса. Повышение осведомленности поможет нам определить мошенника по ключевым словам, которые чаще всего применяются в скриптах нарушителей; по отсутствию жаргонизмов или образа речи, принятого в одном или другом коллективе; по механике действия атакующего, которые сейчас популярны в технике исполнения атаки через социальную инженерию.
Поэтому важно, чтобы в ходе обучения студенты получали опыт решения задач не только технического характера, но и задач, касающихся социальной инженерии. Учитывая, что атаки с использованием психологического манипулирования постоянно модифицируются и набирают обороты.
Таким образом, можно сделать вывод, что классическое обучение в вузе предоставляет студентам фундаментальные знания и навыки, необходимые для успешной карьеры в области информационной безопасности. Однако, важно понимать, что практические навыки и опыт работы в реальной среде также играют ключевую роль в успешной карьере специалиста по информационной безопасности. Поэтому, для максимального эффекта, необходимо сочетать обучение в университете с практическими навыками, получаемыми на стажировках, курсах повышения квалификации и участии в практических проектах. А если говорить конкретно про обучение в университете, то тут будет наиболее эффективным обучение с использованием кейс-подхода, т.к. в ходе решения реальных задач студент будет нарабатывать практический опыт, это поможет ему в дальнейшем достигать высоких результатов и успешно справляться с возникающими задачами и проблемами.